Column


Column Bart Bosma

Zijn websites van huisartsenpraktijken wel veilig?

Hoe is het gesteld met de beveiliging van de websites van huisartsen? Een kleine steekproef maakt al snel duidelijk dat er nog veel werk aan de winkel is.

Huisartsen digitaliseren
Enige tijd geleden wilde ik een herhaalrecept aanvragen bij mijn huisarts. Vroeger ging dat telefonisch. Je belde de receptenlijn, gaf wat informatie door zodat de assistent wist wie je was en welk medicijn je nodig had, en vervolgens kon je het bij je apotheek ophalen. Toen ik het nummer voor de receptenlijn even ging opzoeken, kwam ik op de geheel vernieuwde website van mijn huisarts en zag daar prominent de ‘herhaalreceptknop’.

Kennelijk gaat mijn huisarts ook mee met de tijd en is aan het digitaliseren. Naast de herhaalreceptknop zijn er ook knoppen voor ‘e-mailconsult’, ‘reizigersadvisering’ en ‘inschrijven’. En mooier nog, er is een ‘symptomenzoeker’ (linkt naar thuisarts.nl). Nu hoef ik niet meer meteen naar de praktijk als er iets is, maar kan ik mezelf gewoon helpen.

Maar goed, ik ging dus een herhaalrecept aanvragen. Ik drukte op de knop en kreeg dit formulier te zien:


 

Wat meteen opvalt, is de hoeveelheid gegevens die je moet doorgeven. Niet alleen wie je bent en wat je nodig hebt, maar ook geslacht, geboortedatum en bsn. Persoonsgegevens dus, en wel bijzondere persoonsgegevens, waarvoor extra strenge regels gelden.

Wat ook meteen opvalt, is de url die verwijst naar een http-versie van de website van mijn huisarts, terwijl ik eerder een verwijzing naar een https-versie had verwacht zoals het geval is bij thuisarts.nl.

Kortom, er wordt helemaal niet voldaan aan de beveiligingseisen die gesteld worden aan bijzondere persoonsgegevens. Bovendien moet ik aangeven welke medicijnen ik wil hebben en de Autoriteit Persoonsgegevens (AP) is heel duidelijk over medische gegevens: Medische gegevens zijn per definitie privacygevoelig. De beveiliging van deze gegevens moet dan ook aan de hoogste normen voldoen. Dus los van de nonchalance betreffende de bijzondere persoonsgegevens is er duidelijk geen sprake van beveiliging die aan de hoogste normen voldoet.

Ook bij het e-mailconsult wordt gevraagd om geboortedatum en geslacht op het webformulier in te vullen (geen bsn ditmaal) en is er geen sprake van een beveiligde verbinding.

Eén rotte appel?
Mijn eerste vraag is dan ook: hoe kan het dat een huisartsenpraktijk hier geen aandacht aan besteedt? Is dit toeval of meer wijdverspreid? Onlangs (in maart) heeft de AP nog een aanbeveling gedaan aan de KNGF (Koninklijk Nederlands Genootschap voor Fysiotherapie) naar aanleiding van vragen van fysiotherapeuten hoe zij moeten omgaan met formulieren op hun websites, en specifiek of daarbij gebruik moet worden gemaakt van https. De conclusie van de AP luidde: “Bij het bouwen van een website voor een fysiotherapiepraktijk dient rekening te worden gehouden met de NEN 7512:2015 norm en de NCSC ICT-Beveiligingsrichtlijnen voor webapplicaties (2015). Indien via een contactformulier op de website bijzondere persoonsgegevens – waaronder gezondheidsgegevens en bsn – worden verwerkt, dient de gehele webapplicatie via https te worden aangeboden. Indien uitsluitend andersoortige gegevens worden verwerkt dan moet de organisatie zelf op basis van een risicoanalyse en classificatieschema vaststellen of de webapplicatie via https wordt aangeboden.” Naar mijn idee kan dit direct vertaald worden naar de website van een huisartsenpraktijk!

Andere praktijken
De volgende vraag die bij mij opkwam was: hoe zit het eigenlijk met de beveiliging van andere websites van huisartsen in mijn woonplaats? Via Zorgkaart Nederland heb ik zeventien huisartsen gevonden die in elf praktijken actief zijn en gekeken hoe zij hiermee omgaan. Daarbij heb ik vooral gekeken naar het formulier voor herhaalrecepten en ook getest met behulp van ssllabs.com en internet.nl in hoeverre de https-implementatie, als die er was, voldoet aan de hoogste normen zoals de AP ze noemt (tests uitgevoerd op 2 augustus 2016).

Resultaten
Van de elf praktijken zijn er twee die geen https gebruiken. Die van mijn huisarts dus en een andere die echter wel weer verwijst naar een website met https voor het aanvragen van een herhaalrecept. De overige acht krijgen van Internet.nl – waarbij de tests zijn gebaseerd op de NCSC-beveiligingsrichtlijnen voor TLS – allemaal een onvoldoende voor hun https implementatie: geen van de geteste sites heeft een HSTS (HTTP Strict Transport Security)-policy en de meeste laten client-initiated renegotiation toe. SSLLabs geeft aan zes sites een A-, aan twee een F en aan twee een T (A: is zeer goed, F is zeer slecht, en T betekent dat de servernaam niet overeenkomt met de naam in het servercertificaat). Wel zijn er van de elf websites twee die authenticatie vereisen voordat een herhaalrecept kan worden aangevraagd. Van de vier websites die geen A- hebben gescoord, is er één die ook webformulieren aanbiedt.

Conclusie
Al met al valt het me eigenlijk nog mee: van de elf geteste websites zijn er vier die duidelijk onvoldoende scoren voor hun https-implementatie en is er een die helemaal geen https heeft geïmplementeerd (mijn huisarts...). Van deze vijf zijn er slechts twee die webformulieren aanbieden, waarvan slechts één zonder https en één met een slecht scorende implementatie van https.

Mijn kleine steekproef bevestigt wel het beeld dat al in andere columns op SecurityVandaag.nl is gesignaleerd, namelijk dat er nog wel wat werk is voor de medische wereld om patiëntgegevens goed te beveiligen! Een goed teken is dat het onderwerp in ieder geval leeft. Zo is het NCSC bezig met een vergelijkbaar maar dan grootschaliger onderzoek met als doel de Landelijke Huisartsen Vereniging (LHV) te adviseren over de stand van zaken en te nemen maatregelen.


Eerdere bijdrage van Bart Bosma:

Lees meer over